Kostenlosen Ratgeber zur Verteidigung gegen 
Abmahnung als 28 Seiten PDF-Dokument

Datenschutz: Sicherheitsstandards zur Datensicherheit nach Art. 32 DSGVO

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

veröffentlicht am 19. Dezember 2021 um 13:32

Das OLG Stuttgart entschied am 31.03.2021 in einem Berufungsurteil über einen Schadensersatzanspruch wegen einer vermeintlichen Datenschutzverletzung und befasste sich dabei insbesondere mit der Frage der Beweislast, wenn der Beklagten nicht ausreichende Sicherheitsstandards zur Datensicherheit nach Art. 32 DSGVO vorgeworfen werden.

Das Urteil des OLG Stuttgart mit dem Aktenzeichen 9 U 34/21 ist unter anderem unter folgenden Webadressen zu finden: https://openjur.de/u/2354794.html

Hintergrund

Um die erfüllung der verfügbarkeit der personenbezogenen daten ist datenschutz/ ist datensicherheit es sei denn der art

Die Klägerin war Kundin einer europäischen Tochtergesellschaft eines Anbieters von Zahlungskarten. Sie nutzte die Kreditkarte zur Sammlung von Punkten, die man gegen Prämien einlösen konnte. Durch einen Hackerangriff, der am 19.08.2019 bemerkt wurde, wurden personenbezogene Daten der Klägerin abgegriffen und im Internet veröffentlicht. Anmeldedaten, Passwörter und die Prüfnummer waren nicht betroffen.

Die Klägerin wirft der Beklagten vor, dass diese wesentliche Teile der personenbezogenen Daten unverschlüsselt gespeichert und es versäumt habe, den erforderlichen Standard „PCI-DSS“ einzuhalten. Zudem sei die Beklagte bereitsein Jahr vor dem Entdecken des Hackerangriffs auf die Sicherheitslücke hingewiesen worden und es sei bereits zu Diebstählen von Gutscheinen gekommen.

Um die erfüllung der Datenschutz für die und der den Schutz technischen und organisatorischen Maßnahmen von Daten

Die Entscheidung

Das OLG erklärte die Berufung für unbegründet, da ein Verstoß gegen Datenschutzrecht mangels Beweises einer ungenügenden IT-Sicherheit nicht geführt wurde.

So sei die Behauptung der Klägerin, die Beklagte hätte den PCI-DSS-Standard nicht eingehalten, keinen Beweis geliefert. Nach dem Hessischen Datenschutzbeauftragten liege eine Sicherheitslücke zwar nahe, aber ein Hinweis auf die Nichteinhaltung des Standards gibt es nicht. So heißt es in Rn. 39 des Urteils:

Der Hinweis in dem Bericht des Hessischen Beauftragten für Datenschutz (auszugsweise vorgelegt mit Anlage BB 1) legt zwar eine „Sicherheitslücke“ nahe, vermutet diese aber auch nur und enthält gerade keinen Hinweis auf die Nichteinhaltung des o.g. Standards, sondern weist undifferenziert auf „Sicherheitsprobleme“ hin.“

Schließlich hat die Beklagte die Behauptung, die Beklagte sei auf Sicherheitsmängel hingewiesen worden, bestritten und auch der Diebstahl von Gutscheinen beweist nicht, dass der PCI-DSS-Standard nicht eingehalten wurde. In Rn. 39 heißt es hierzu:

Soweit schließlich die Klägerin vorträgt, die Beklagte sei auf Sicherheitsmängel hingewiesen worden, ist ein Zusammenhang zu dem späteren Datenabgriff bestritten. Auch das - ohnehin spätere - „Entwenden“ von Gutscheinen erlaubt keinen Rückschluss, wie das Abgreifen der persönlichen Daten geschah. Denn die an die Kunden verteilten Gutscheine können schlicht auch dort abgegriffen worden sein.“

Diese Umstände werfen die Kernfrage des Urteils auf, nämlich wer die Beweislast trägt, wenn das Vorliegen oder Nicht-Vorliegen einer ausreichenden IT-Sicherheit nicht bewiesen ist.

Personenbezogenen Daten haben und dienste erfahren Sie ob unbeabsichtigt oder unrechtmäßig bezug auf die vertraulichkeit

Hierfür verneint das OLG sowohl eine Beweislastregelung in der Rechenschaftspflicht des Art. 5 II DSGVO als auch generell das Vorliegen einer Beweislastregelung in der DSGVO. Es beruft sich auf den eingeschränkten Anwendungsbereich des Art. 5 II DSGVO, die generell eingeschränkte Stellung des Betroffenen sowie die Regelung des Art. 82 III DSGVO. In den Rn. 43-45 heißt es hierzu:

Die DS-GVO enthält kein Beweisrecht (vgl. Schantz, in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Kap. F Rn. 1250). Es gelten die Beweisregeln des jeweiligen nationalen Prozessrechts.

Die allgemeine Rechenschaftspflicht der Art. 5 Abs. 2, 24 Abs. 1 DS-GVO bezieht sich auf eine Verantwortlichkeit gegenüber der Behörde. […]

Den Betroffenen gesteht die DS-GVO jedoch nur eingeschränkte Rechte zu, wie Art. 15 DS-GVO zeigt […]. Ebenso wenig ist dem Begriff der „Verantwortlichkeit“ i.S.d. Art. 82 Abs. 3 DS-GVO zu entnehmen, dass sich der Verantwortliche neben dem Verschulden bezüglich aller anderen Tatbestandsmerkmale, also auch bezüglich des Pflichtenverstoßes selbst bereits in objektiver Hinsicht zu exkulpieren hätte, ein Pflichtenverstoß also zu vermuten wäre (vgl. Piltz/Zwerschke, GRUR-Prax 2021, 11, 12).“

Infolgedessen wendet das OLG die Grundsätze der sekundären Darlegungslast an, die im Rahmen des Effektivitätsgrundsatzes Anwendung finden nach Rn. 46:

Die Grundsätze über die sekundäre Darlegungslast helfen dem Betroffenen je nach den Umständen darüber hinaus weiter, wenn er darlegt, dass und in welcher Weise es ihm nicht möglich ist, zu den maßgeblichen Umständen - hier einer unsicheren Datenverarbeitung - weitere Nachforschungen zu betreiben und dass ihm Beweismittel nicht zur Verfügung stehen, er also in Beweisnot ist. Mehr verlangt der Effektivitätsgrundsatz nicht. Insbesondere verlangt er keine Beweislastumkehr bezüglich der Tatbestandsmerkmale des Art. 82 DS-GVO […].“

Die sekundäre Darlegungslast führte allerdings vorliegend nicht dazu, dass die Klägerin es dabei belassen konnte, der Beklagten ungenügende Sicherheitsstandards vorzuwerfen. Zwar hat sie in die Interna der Beklagten keinen Einblick, doch hat die Beklagte ihren Verarbeitungsstandard ausreichend vorgetragen und ihrer Beweislast damit genügt, so in Rn. 49:

Verfügbarkeit der personenbezogenen Daten der auftragsverarbeiter geeignete Technische die fähigkeit die übermittelt personenbezogener Daten des umfangs

Die Anwendung der vorgenannten Grundsätze über die sekundäre Darlegungslast führt im Streitfall nicht zu weiteren Erleichterungen für die Klägerin. Die Klägerin hat zwar - insoweit zu Recht - darauf hingewiesen, dass es sich bei der Datenverarbeitung um Interna der Beklagten handele, in die sie keinen Einblick habe. Die Beklagte hat jedoch zur Verarbeitung, insbesondere den anzuwendenden und eingehaltenen sowie regelmäßig überprüften Standards eingehend vorgetragen. Das hält der Senat für ausreichend.“

Dies begründet das Gericht insbesondere damit, dass es auch der Klägerin nicht unmöglich gewesen wäre, die nötigen Informationen einzuholen, mit denen sich eine ungenügende Verarbeitungssicherheit der Beklagten begründen lasse, so Rn. 49 und 50:

Dass sie sich in einer solchen Beweisnot befinden würde, die es ihr nicht ermöglichte, die wesentlichen Tatsachen aufzuklären, vermag der Senat nicht zu bejahen. Insbesondere liegt es nahe, von dem Hessischen Beauftragten für Datenschutz, zu dem die Klägerin Kontakt hatte (vgl. Anlage zum Ss. vom 23.03.2021) und der auch als Zeuge benannt werden könnte, nähere Erkenntnisse zu den angeblichen „Sicherheitsproblemen“ zu erhalten. […]

Die Beklagte ist aber nicht gehalten, der Klägerin Material für den Prozesssieg zu verschaffen, das sie nicht hat und das die Klägerin auch beschaffen könnte.“

Auch sieht das OLG auch in der Tatsache des erfolgreichen Hackerangriffs keinen Beleg, dass ungenügende Sicherheitsstandards vorliegen, da viele Hacker es gerade auf gute Sicherheitsstandards abgesehen haben, so in Rn. 52:

Dass es zu einem erfolgreichen Hackerangriff kommt, lässt auch keinen halbwegs begründeten Schluss darauf zu, es habe an Sicherheitsvorkehrungen gemangelt. Denn Hacker machen sich zum Teil geradezu einen Sport daraus, auch besonders gute Sicherungsvorkehrungen zu „knacken“.“

Schließlich gelang der Klägerin auch nicht der Nachweis, dass die ungenügenden Sicherheitsstandards für den entstandenen Schaden kausal verantwortlich wären. So heißt es in Rn. 62 hierzu:

Im Streitfall ist eine Kausalität einer - unterstellten - Pflichtverletzung durch unterlassene Anwendung des „PCI-DSS“-Standards nicht erwiesen. Die Klägerin hat dazu, mittels welcher Attacke die Hacker die Daten abgriffen, nichts vorgetragen. Insoweit helfen ihr die Grundsätze der sekundären Darlegungslast nicht weiter.“

Fazit

Der auftragsverarbeiter geeignete technische ist datenschutz es sei denn erfahren Sie und Dienste erfüllung der insbesondere durch die vertraulichkeit

Die in dem Urteil vorgenommenen Beweislasterwägungen betreffen vornehmlich den ungenügenden Vortrag der Klägerin, werfen aber auch ein Licht auf die hohen Anforderungen, denen die Betroffenen im Fall des Mastercard- und anderen Datenlecks genügen müssen.

Auch wenn die Grundsätze der sekundären Darlegungslast Anwendung finden, können sich die Kläger nicht darauf ausruhen, eine ungenügende Datensicherheit lediglich anzuprangern und auf vergangene erfolgreiche Hackerangriffe verweisen. Erforderlich ist, dass die Kläger alle ihnen zur Verfügung stehenden Möglichkeiten ausschöpfen, die die ungenügende Datensicherheit im konkreten Fall sowie deren Kausalität für den Schaden belegen.

Ob dies den betroffenen von Datenlecks und Hackerangriffen nicht doch zu hohe Hürden auf dem Weg zum Schadensersatz auflegt, obliegt nun der Entscheidung des BGH. Das Revisionsverfahren diesbezüglich läuft unter dem Aktenzeichen VI ZR 111/21.

Weitere für Sie wahrscheinlich interessante Artikel

Unterlassungserklärung in einigen Fällen als Schuldanerkenntnis gewertet?

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 11. Dezember 2013 um 22:12
Das Landgericht Wiesbaden urteilte jüngst im Mai 2013, dass in einer Unterlassungserklärung ein Schuldanerkenntnis liege, unabhängig davon, ob diese ausdrücklich „ohne Anerkennung einer Rechtspflicht“ geschehe: „ Die Beklagte ist der Auffassung, dass sich der von ihr abgegeben Unterwerfungserklärung

Beseitigung einer abgegebenen Unterlassungserklärung möglich?

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 31. Mai 2014 um 15:05
Juristische Laien achten oft nur auf die in der Abmahnung geforderte Geldsumme. Sie übersehen dann, dass es sehr viel teurer werden kann, wenn man unüberlegt eine Unterlassungserklärung unterzeichnet und dem Gegener übersendet. Denn in Abmahnschreiben wollen die Abmahner meist nicht nur Geld für die

Empfangszuständigkeit des Rechtsanwalts und anwaltliches Umgehungsverbot nach § 12 BORA

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 10. September 2021 um 12:09
Gemäß § 172 ZPO haben im Prozess Zustellungen an den bestellten Prozessbevollmächtigten – also den Rechtsanwalt - zu erfolgen. Gemäß § 87 I ZPO erlangt die Kündigung der Bevollmächtigung eines Anwalts gegenüber dem Gegner erst durch Anzeige des Erlöschens ihre Wirksamkeit. Im Anwaltsprozess – also
Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
RA Christoph Scholze
Logo Rechtsanwaltskammer Frankfurt am Main - Fortbildung Geprüft
Logo Qualität durch Fortbildung - Fortbildungszertifikat der Bundesanwaltskammer

TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Jena, Wiesbaden und Frankfurt am Main

Kanzleibriefe

Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 28. Januar 2024 um 21:01
Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay Der Streitwert, auch als „Gegenstandswert“ bezeichnet, wird durch den Angriffsfaktor bestimmt. Das bedeutet, dass sich der Streitwert danach richtet, wie hoch die Qualität der Verletzungshandlung ist, ob sie vorsätzlich oder

Schadenersatz KSP: Forderung der KSP Kanzlei für DPA wegen unerlaubter Bildnutzung

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 22. Januar 2024 um 19:01
Schadensersatzforderung KSP Kanzlei für DPA Picture Alliance wegen unerlaubter Nutzung urheberrechtlich geschützter Bilder Details der Schadensersatzforderung Der AID24 Rechtsanwaltskanzlei liegen mehrere Schreiben der KSP Kanzlei Dr. Seegers, Dr. Frankenheim Rechtsanwaltsgesellschaft mbH vor

AV-Verträge generieren, statt Muster oder Vorlagen fehlerhaft umzuschreiben

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 08. Dezember 2023 um 12:12
Erstellen Sie AV-Verträge, anstatt Vorlagen oder diese möglicherweise falsche um zu schreiben Auftragsverarbeitungsverträge, eine Anleitung zum AV-Vertrag-Generator Die Verarbeitung personenbezogener Daten im Rahmen einer Bestellung erfordert unter anderem eine datenschutzrechtliche Dokumentation
KOSTENFREIE ERSTEINSCHÄTZUNG 
24h* +49 611 89060871
(*soweit technisch verfügbar)